Le botnet InfectedSlurs exploite les vulnérabilités Zero-Day RCE

Akamai a identifié un botnet DDoS basé sur Mirai récemment découvert appelé InfectedSlurs, tirant activement parti de deux vulnérabilités zero-day pour infecter les routeurs et les appareils enregistreurs vidéo (NVR).

Bien que les chercheurs aient détecté le botnet en octobre 2023, ils soupçonnent que son activité remonte au moins à 2022. Bien que les deux vulnérabilités aient été signalées aux fournisseurs respectifs, les correctifs devraient être publiés en décembre 2023.

En octobre, l'équipe SIRT (Security Intelligence Response Team) d'Akamai a observé une activité inhabituelle dirigée vers les pots de miel de l'entreprise, ciblant spécifiquement un port TCP peu utilisé.

L'analyse publiée par Akamai révèle que fin octobre 2023, une légère augmentation de l'activité sur leurs pots de miel ciblant un port TCP rarement utilisé a été constatée. Jusqu'au 9 novembre 2023, les appareils ciblés n'étaient pas identifiés et les sondages impliquaient des tentatives à basse fréquence. La méthode impliquait le lancement de l'authentification via une requête POST, suivie d'une exploitation par injection de commande en cas d'authentification réussie.

Akamai s'est abstenu de divulguer les noms des fournisseurs concernés. Les chercheurs ont découvert que le robot utilisait également les informations d’identification d’administrateur par défaut pour installer les variantes de Mirai. Une enquête plus approfondie sur la campagne a révélé que le robot cible les routeurs LAN sans fil conçus pour les hôtels et les applications résidentielles.

InfectedSlurs basés sur JenX

InfectedSlurs est enraciné dans la variante du malware JenX Mirai, qui, en 2018, a utilisé la communauté du jeu vidéo Grand Theft Auto pour infiltrer les appareils. Akamai affirme que le code d'InfectedSlurs ressemble beaucoup à celui du botnet Mirai d'origine.

Les experts ont noté que la variante utilisée dans la campagne d'octobre 2023 partage les mêmes fonctions et emplacements de mémoire qu'une variante Mirai utilisée en avril 2023. De plus, d'autres botnets, y compris la variante hailBot Mirai, ont utilisé l'infrastructure de commande et de contrôle (C2) utilisée dans cette campagne. Les chercheurs ont également identifié des références à une infrastructure C2 provenant d'un utilisateur Telegram supprimé dans le célèbre canal de marché DDoS DStatCC.

Le SIRT d'Akamai collabore avec CISA/US-CERT et JPCERT pour informer les fournisseurs des appareils concernés. Afin de laisser aux fournisseurs le temps de mettre en œuvre les correctifs, les informations détaillées ne sont pas divulguées publiquement. Cependant, en raison de l'exploitation active de ces vulnérabilités, le rapport inclut les règles Snort et YARA pour aider les défenseurs à identifier les tentatives d'exploitation et les infections potentielles dans leurs environnements.